Risale a pochi giorni fa la notizia della scoperta di Exodus, uno spyware che pare essere stato commissionato dalla polizia di stato, che è finito sia nel Play Store di Google che su alcuni siti di phishing che si spacciavano per noti provider di telefonia, riuscendo così a contaminare centinaia di utenti italiani.
Adam Bauer, il ricercatore di Lookout Mobile Endpoint Security che ha scoperto lo spyware Exodus, anticipa qui i risultanti delle sue analisi che verranno presentati al Kaspersky Security Analyst Summit di Singapore questa settimana.
Scenario: Spyware per Android
“All’inizio dell’anno, Lookout ha scoperto un sofisticato spyware per Android che sembra sia stato creato per intercettazioni da parte della polizia di stato. Lo spyware è stato sviluppato nel corso di almeno cinque anni e opera in tre stadi. Nel primo, vengono catturati numero di telefono e codice IMEI. Successivamente, un payload più grande implementa la maggior parte delle funzioni di sorveglianza. Ed infine, il terzo guadagna l’accesso alla root.”spiega Adam.
Numerosi dettagli tecnici indicano che il software malevolo è stato probabilmente prodotto dalla software house calabrese Connexxa S.R.L. una delle cui ramificazioni, la eSurv S.R.L., sviluppa software per videosorveglianza e sistemi di image recognition.
Lookout ha avvertito Google della potenziale minaccia subito dopo averla scoperta e assieme, nel corso della seconda metà del 2018, hanno lavorato per rimuovere la app dal Play Store.
La versione per iOs
Le analisi successive hanno portato alla scoperta anche della variante dello spyware per iOS che era possibile scaricare su siti fake che simulavano quelli di provider di telefonia mobile sia italiani che della repubblica Turkmena.
La distribuzione agli utenti al di fuori dell’app store di Apple era stata resa possibile dallo sfruttamento del Apple Developer Enterprise Program. Scopo del programma è quello di permettere alle aziende di distribuire app proprietarie ai loro dipendenti senza il bisogno di ricorrere all’App Store. Una compagnia può ottenere accesso al programma soltanto se risulta conforme ai requisiti richiesti da Apple, tra cui un profilo di mobile provisioning certificato da un’azienda sviluppatrice.In questo caso, la Connexxa S.R.L.
Lo spyware stesso appariva agli utenti come una app di assistenza dei provider e li istruiva “mantenere l’app installata sul dispositivo e stare sotto copertura wifi in modo da poter essere contattato da un nostro operatore”.
La variante per iOS, pur meno sofisticata di quella per Android, era comunque in grado di esfiltrare dati come contatti, registrazioni audio, foto, video, dati di geolocalizzazione, informazioni sul dispositivo, nonché di rendere possibile la registrazione da remoto delle conversazioni.
Lookout ha condiviso queste informazioni con Apple ed il falso certificato è stato revocato per impedire l’installazione di qualunque nuova istanza di questa app o bloccarne l’esecuzione se già installalta.
Come tutelare la propria privacy
Cresce quindi la preoccupazione relativa alla riservatezza delle nostre conversazioni. Solo pochi giorni prima dell’annuncio della scoperta dello spyware, era stata pubblicata sui media la telefonata tra uno dei bambini del bus dirottato e poi dato alle fiamme in provincia di Milano e la sua mamma. Sembra bizzarro che madre e figlio registrino una conversazione, soprattutto in circostanze così drammatiche. Potrebbe trattarsi di un falso, di una ricostruzione a posteriori ma, se non lo fosse, darebbe adito ad interrogativi preoccupanti.
Il Garante Privacy ha definito il caso Exodus un ‘fatto gravissimo’ ma a tutt’oggi non sono stati presi i necessari provvedimenti da parte delle istituzioni per evitare che tecniche di intercettazione possano determinare inaccettabili violazioni della libertà dei cittadini.
“Il nostro impegno per la tutela della privacy e la sicurezza di cittadini e aziende” spiega Adriana Franca, CEO di Digitree, una società che offre servizi e soluzioni di sicurezza all’avanguardia, “ci ha portato a predisporre, in sinergia con i nostri partner tecnologici Lookout e di EasyPhonia, (NdR EasyPhonia è una compagnia telefonica che permette di effettuare comunicazioni vocali e video chiamate protette con i più elevanti standard di crittografia), una soluzione di sicurezza a prova di ‘bomba informatica’ per evitare che tecniche di intercettazione non autorizzate possano determinare inaccettabili violazioni della libertà dei cittadini.”
La soluzione di mobile security, a breve disponibile sia sul sito web di DigiTree che tramite i suoi rivenditori autorizzati, prevede tre tipologie di offerta: nel primo caso, la fornitura del software di sicurezza e la sottoscrizione al servizio di SOC; nel secondo pacchetto, applicazioni e servizi sono forniti assieme ad uno smartphone a scelta del cliente; nel terzo, infine, lo smartphone fornito è di tipo rugged per le condizioni di utilizzo più estreme.